配置BGP Keychain示例

学习精彩网络技术老师：华为HCIA和HCIP数通eNSP实战视频课

学习精彩网络技术老师：华为、华三、锐捷、WLAN、IPv6等全套视频课程

BGP邻居间配置Keychain认证可以加强BGP连接的安全性。

组网需求

如图1所示，DeviceA属于AS100，DeviceB属于AS200。网络中运行BGP协议，并使用BGP Keychain功能保障EBGP连接免受攻击。

图1 配置BGP KeyChain组网图

本例中interface1代表GE0/1/0。

配置注意事项

在配置过程中，需注意以下事项：

BGP对等体两端必须都配置Keychain认证，且配置的Keychain必须使用相同的加密算法和密码，才能正常建立TCP连接，交互BGP消息。

配置思路

采用如下的思路配置BGP Keychain：

在DeviceA和DeviceB之间建立EBGP连接。

在DeviceA和DeviceB上分别配置Keychain认证功能。

数据准备

为完成此配置例，需准备如下的数据：

DeviceA、DeviceB的Router ID，所在的AS号。

DeviceA和DeviceB之间的Keychain认证名称。

操作步骤

1. 配置各接口的IP地址（略）
2. 配置EBGP连接

# 配置DeviceA。

[~DeviceA] bgp 100

[*DeviceA-bgp] router-id 1.1.1.1

[*DeviceA-bgp] peer 10.20.1.2 as-number 200

[*DeviceA-bgp] commit

[~DeviceA-bgp] quit

# 配置DeviceB。

[~DeviceB] bgp 200

[*DeviceB-bgp] router-id 2.2.2.2

[*DeviceB-bgp] peer 10.20.1.1 as-number 100

[*DeviceB-bgp] commit

[~DeviceB-bgp] quit

1. 配置Keychain

# 配置DeviceA。

[~DeviceA] keychain Huawei mode absolute

[*DeviceA-keychain] tcp-kind 179

[*DeviceA-keychain] tcp-algorithm-id hmac-sha-256 17

[*DeviceA-keychain] receive-tolerance 100

[*DeviceA-keychain] key-id 1

[*DeviceA-keychain-keyid-1] algorithm hmac-sha-256

[*DeviceA-keychain-keyid-1] key-string hello

[*DeviceA-keychain-keyid-1] send-time 11:00 2009-12-24 to 12:00 2009-12-24

[*DeviceA-keychain-keyid-1] receive-time 11:00 2009-12-24 to 12:00 2009-12-24

[*DeviceA-keychain-keyid-1] commit

[~DeviceA-keychain-keyid-1] quit

[~DeviceA-keychain] quit

# 配置DeviceB。

[~DeviceB] keychain Huawei mode absolute

[*DeviceB-keychain] tcp-kind 179

[*DeviceB-keychain] tcp-algorithm-id hmac-sha-256 17

[*DeviceB-keychain] receive-tolerance 100

[*DeviceB-keychain] key-id 1

[*DeviceB-keychain-keyid-1] algorithm hmac-sha-256

[*DeviceB-keychain-keyid-1] key-string hello

[*DeviceB-keychain-keyid-1] send-time 11:00 2009-12-24 to 12:00 2009-12-24

[*DeviceB-keychain-keyid-1] receive-time 11:00 2009-12-24 to 12:00 2009-12-24

[*DeviceB-keychain-keyid-1] commit

[~DeviceB-keychain-keyid-1] quit

[~DeviceB-keychain] quit

1. 在DeviceA和DeviceB之间的EBGP连接上应用Keychain认证。

# 配置DeviceA。

[~DeviceA] bgp 100

[*DeviceA-bgp] peer 10.20.1.2 keychain Huawei

[*DeviceA-bgp] commit

[~DeviceA-bgp] quit

# 配置DeviceB。

[*DeviceB] bgp 200

[*DeviceB-bgp] peer 10.20.1.1 keychain Huawei

[*DeviceB-bgp] commit

[~DeviceB-bgp] quit

1. 检查配置结果

# 在DeviceA上查看使能Keychain认证后BGP连接的状态。

<DeviceA> display bgp peer

 BGP local router ID : 10.20.1.1

 Local AS number : 100

 Total number of peers : 1         Peers in established state : 1

  Peer            V          AS  MsgRcvd  MsgSent  OutQ  Up/Down       State  PrefRcv

  10.20.1.2       4         200       21       24     0 00:00:23      Established    0

可以看到Keychain功能使能后，BGP连接状态为“Established”。

配置文件

DeviceA的配置文件

#

sysname DeviceA

#

keychain Huawei mode absolute

 receive-tolerance 100

 tcp-kind 179

 tcp-algorithm-id hmac-sha-256 17

 #

 key-id 1

  algorithm hmac-sha-256

  key-string cipher %#%#e^1}%%w;/C[M)OQc7"j+,2)}%#%#

  send-time 11:00 2009-12-24 to 12:00 2009-12-24

  receive-time 11:00 2009-12-24 to 12:00 2009-12-24

#

interface GigabitEthernet0/1/0

 undo shutdown  

 ip address 10.20.1.1 255.255.255.0

#

bgp 100

 router-id 1.1.1.1

 peer 10.20.1.2 as-number 200

 peer 10.20.1.2 keychain Huawei

 #              

 ipv4-family unicast

  undo synchronization

  peer 10.20.1.2 enable

#

return

DeviceB的配置文件

#

sysname DeviceB

#

keychain Huawei mode absolute

 receive-tolerance 100

 tcp-kind 179

 tcp-algorithm-id hmac-sha-256 17

 #

 key-id 1

  algorithm hmac-sha-256

  key-string cipher %#%#ub(70WJ"^=i(kxPK@*fK,)}t%#%#

  send-time 11:00 2009-12-24 to 12:00 2009-12-24

  receive-time 11:00 2009-12-24 to 12:00 2009-12-24

#

interface GigabitEthernet0/1/0

 undo shutdown  

 ip address 10.20.1.2 255.255.255.0

#

bgp 200

 router-id 2.2.2.2

 peer 10.20.1.1 as-number 100

 peer 10.20.1.1 keychain Huawei

 #              

 ipv4-family unicast

  undo synchronization

  peer 10.20.1.1 enable

#

return